2023 软考信息安全工程师 知识点
文章目录
- 知识点总结
- 2023软考总结
-
- 选择题
- 问答题
- 考试通过啦
知识点总结
军用不对外公开的信息系统安全等级至少应该>=三级
数据中心的耐火等级不应低于二级
政府网站的信息安全等级原则上不应低于二级
第一代交换机以集线器为代表,工作在OSI物理层
第二代交换机以太网交换机,工作在OSI数据链路层,称为二代交换机,识别数据中的MAC,并根据MAC地址选择转发
第三代交换机三层交换机,工作在OSI网络层
第四代交换机增加业务功能,比如防火墙、负载均衡、IPS等
第五代交换机支持软件定义网络SDN,具有强大的QOS的能力
《国家安全法》 2015/7/1
《网络安全法》 2017/6/1
《等保》 2019/12/1
《密码法》 2020/1/1
《数据安全法》 2021/9/1
《关键信息基础设施安全保护条例》 2021/9/1
《个人信息保护法》 2021/11/1
《网络安全审查办法》 2022/2/15
专用IP地址(私网地址)范围:
- A类:10.0.0.0 ~ 10.255.255.255
- B类:172.16.0.0 ~ 172.31.255.255
- C类:192.168.0.0 ~ 192.168.255.255
169.254.X.X是保留地址。这类地址又称为自动专用IP地址。APIPA是IANA保留的一个地址快。
《计算机信息系统安全保护条例》是由中华人民共和国(国务院令)第147号发布的
等保步骤:定级、备案、建设整改、等级测评、监督检查
五个等级:用户自主保护级、系统保护审计级、安全标记保护级、结构化保护级、访问验证保护级
信息系统的安全保护等级由两个定级要素决定:等级保护对象受到破坏时所侵害的客体和对客体造成侵害的程度。
受侵害的客体包括:公民、法人和其他组织的合法权益;社会秩序、公共利益;国家安全
对客体的侵害程度:一般损害;严重损害;特别严重损害
DES密钥长度56位,子密钥长度为48位,分组长度为64位
S盒变换是一种压缩变换,通过S盒将48位输入变为32位输出。共有8个S盒并行作用。每个S盒有6个输入,4个输出,是非线性压缩变换。
AES密钥长度128、192、256
对称加密缺点:密钥分发和管理困难,同时不具有哈希函数的单向性
ECC和RSA实现数字签名的主要区别:ECC签名后的内容中包含原文,而RSA签名后的内容中没有原文
RSA签名原理:分别利用自己的私钥和对方的公钥加密,签名后的内容是加密后的密文;
ECC签名原理:利用密钥生成两个数附加在原始明文后一同发送。
RSA密码中,明文消息M的取值必须是整数且小于n。
整数a、b关于模n同余的充分必要条件是n整除a-b,记为n|a-b
在SSL VPN技术规范中非对称加密算法:ECC(256)、SM9、RSA(1024)
弱密钥:存在k,使得EK (EK (m)) = m,弱密钥不受任何循环移位的影响,并且只能得到相同的子密钥,DES有4个弱密钥
半弱密钥:存在K1,K2,使得EK1 (EK2 (m)) = m,有些种子密钥只能生成两个不同的子密钥,DES有12个半弱密钥,形成6对
弱密钥和半弱密钥使得原本多轮迭代的复杂结构简单化和容易分析
一个密码仅当它能经得起已知明文攻击时才是可取的。
在传输模式IPSec应用情况中,(传输层及上层数据报文)可受到加密安全保护
网闸:
采用了“代理+摆渡”的方式
代理的思想就是(可看成数据“拆卸”,拆除应用协议的“包头和包尾”)
摆渡的思想就是内外网进行隔离,分时对网闸中的存储进行读写,间接实现信息交换;内外网之间不能建立网络连接,不能通过网络协议互相访问
网闸的主要实现技术:
实时开关技术、单向连接技术、网络开关技术
sniffer网卡模式:混杂模式;多播模式;广播模式;任意模式
Wireshark过滤命令:
主机过滤:
ip.addr == xxxx
ip.src == xxxx
ip.dst == xxxx
端口过滤:
tcp.port == 端口号
tcp.dstport == xxxx
tcp.srcport == xxxx
协议过滤:
tcp
udp
http.request.method == "GET",筛选HTTP为GET请求方式的数据包
内容过滤:
frame contains "xxx"
http contains "xxx"
http.request.uri contains "xxx"
根据组合条件:
与 && 或 || 非 !
ip.proto == 协议号 && tcp.port == 端口号
!(ip.addr == 192.168.3.77)
tcp.flags.syn == 1 || tcp.flags.ack == 1
Nmap:
网络连接扫描软件,用来扫描开放的网络端口。
-p:扫描某个目标地址的某些端口
-O:操作系统识别
-sT:TCP connect()扫描
-sS:TCP SYN扫描
-sU:UDP端口扫描
-sP:Ping扫描
判断数据库的类型:ACCESS系统表为MsyObjects;SQL SERVER系统表为SysObjects
SQL Server有user、db_name()等系统变量
访问控制是指确定(可给予哪些主体访问权利)以及实施访问权限的过程
标准访问列表(1~99、1300~1999),扩展访问列表(100~199、2000~2699)
基于行的自主访问控制:能力表、前缀表、口令
基于列的自主访问控制:保护位、访问控制表
主体高于客体:下读,下写
主体低于客体:上读,上写
基于身份的安全策略基础是授权行为
基于规则的安全策略依赖于敏感性
更改Apache默认的首页文件,更改的是/etc/httpd/conf/httpd.conf文件中的DirectoryIndex配置参数
隐藏Apache软件版本号:修改httpd.conf配置——ServerSignature off;ServerTokens Prod——重启Apache
禁止使用目录索引文件:修改httpd.conf配置——Options:Indexes FollowSymLinks
httpd.conf (主)配置文件,启动时先读取,定义 Apache 服务器一般属性、端口、执行者身份
* conf/srm.conf (数据)配置文件,设置读取文件目录、目录索引画面、CGI 执行目录
conf/access.conf 基本读取文件控制,限制目录所能执行的功能及访问目录的权限
conf/mime.conf 设定 Apache 能辨别的 MIME 格式
kerberos身份认证协议加密算法是DES(对称密码)
PGP使用IDEA作为秘钥管理算法,明文密文分组都是64,密钥长度128比特
wpa有wpa 和wpa2 两个标准,是一种保护无线电脑网络(wi-fi)安全的系统,有四种认证方式:wpa、wpa-psk、wpa2 和 wpa2-psk。
有限等效保密协议WEP采用RC4技术实现保密性,采用的密钥和初始向量长度分别为40位和24位。
WPKI是传统的PKI技术应用于无线环境的优化扩展。采用了优化的ECC椭圆曲线加密和压缩的X.509数字证书。
PKI包含五个实体部分:
CA:证书授权机构,主要进行证书的颁发、废止和更新(可信第三方机构)
RA:证书登记权威机构。注册和担保,辅助CA完成部分证书处理功能。
客户端 终端实体 目录服务器
防火墙是一种位于内部网络与外部网络之间的网络安全系统,依照特定的规则,允许或是限制传输的数据通过,需要在进出两个方向对防火墙进行过滤设置。
防火墙共性关键技术:深度包检测、操作系统、网络协议分析
* 在进入方向过滤是为了防止被人攻击,而在出口方向过滤则是为了防止自己成为攻击的源头或者跳板。
防火墙防御体系结构:
1. 基于双宿主主机防火墙结构。将一个内部网络和外部网络分别连接在不同的网卡上,使内外网络不能直接通信。
2. 基于代理型防火墙结构。一台主机同外部网连接,该主机代理内部网和外部网的通信。
3. 基于屏蔽子网防火墙结构。在代理型结构中增加了一层周边网络的安全机制,使内部网络和外部网络有两层隔离带。代理服务器主机与内网之间也加了一台过滤路由器保护。外面那个过滤路由器过滤外网对被屏蔽子网的访问,里面那个过滤被屏蔽子网对内部网络的访问。
黑名单安全策略:当链的默认策略为ACCEPT时,链中的规则对应的动作应该是DROP或者REJECT,表示只有匹配到的规则报文才会被拒绝,没有被规则匹配到的报文都会被默认接受。
白名单安全策略:当链的默认策略为DROP时,链中的规则对应的动作应该为ACCEPT,表示只有匹配到的规则报文才会被放行,没有被规则匹配到的报文都会被默认拒绝。
防火墙基本配置:
iptables中规则表优先顺序:mangle——修改数据包内容 nat——地址转换 filter——数据包过滤
filter默认包含input(入站数据包) forward(转发数据包) output(出站数据包)三条链
表里有链,链里有规则
防火墙位置:/etc/init.d/iptables start/stop/restart
基本参数:
iptables [-t 表名] 管理选项 [链名] [匹配条件] [-j 控制类型]
* 管理选项、链名、控制类型使用大写字母,其余均为小写
-t:指定某一个规则表。默认的表为filter,例如iptables -L -t nat
管理选项:
-A: append 追加,在当前链的最后新增一个规则
-I:insert 插入新的规则
-D:delect 删除规则
-R:replace 修改、替换规则
-P:设置默认规则
-L:查看现有过滤规则,一般使用iptables -vnL可以显示更详细的信息
-F:刷新选定的链
-S:显示规则,相当于iptables-save
链名:
INPUT FORWARD OUTPUT
匹配条件:
-p: 用于匹配协议的 (这里的协议通常有3种,TCP/UDP/ICMP)
-s: 指定作为源地址匹配,这里不能指定主机名称,必须是IP
--sport: 源端口
-d: 表示匹配目标地址
--dport:目标端口
-i:接口流入
-o:接口流出
!:表示除了哪个IP之外
-j: 满足条件后的动作(Accept Reject Drop)
控制类型:
ACCEPT DROP REJECT 后两个区别在于是否会返回信息给用户
显示匹配:
多端口匹配: -m multiport --sport/--dport 端口列表
IP范围匹配: -m iprange --src-range IP范围
MAC地址匹配: -m mac --mac-source MAC地址
例如,
iptables -A INPUT -p tcp -s 192.168.10.0/24 --dport 8080 -j ACCEPT
iptables -A INPUT -p tcp --dport 23 -j DROP 关闭iptables防火墙23端口
iptables -L INPUT --line-numbers 查看filter表INPUT链中的所有规则并显示规则序号
iptables -D INPUT 2 删除第INPUT表中第二条规则
iptables -t filter -P FORWARD DROP ,forward链默认规则为丢弃,注意没有-j
iptables -A FORWARD ! -p icmp -j ACCEPT 允许转发除ICMP协议之外的数据包
iptables -A INPUT -i eth1 -s (10.0.0.0/8、172.16.0.0/12、192.168.0.0/16 )-j DROP 丢弃从外网接口(eth1)访问防火墙本机且源地址为私有地址的数据包
iptables -A INPUT -p tcp -m multiport --dport 25,80,110,143 -j ACCEPT 允许本机开放25、80、110、143端口
iptables -A FORWARD -p tcp -m iprange --src-range x-y -j ACCEPT 禁止转发源IP地址位于x与y之间的TCP数据包
iptables -A INPUT -m mac --mac-source xx:xx:xx:xx:xx:xx -j DROP(MAC地址) 进制某台主机访问本机
网络审计数据保护技术:
系统用户分区管理、审计数据强制访问、审计数据加密、审计数据隐私保护、审计数据完整性保护、审计数据备份
代码静态分析:模式匹配、定理证明、模型检测
防止缓冲区溢出漏洞:
系统管理防范策略:关闭不必要的特权程序、及时打好系统补丁
软件开发防范策略:正确编写代码、缓冲区不可执行、改写C语言函数库、程序指针完整性检查、堆栈向高地址方向增长等
漏洞扫描:
主机漏洞扫描(基线配置核查系统):
COPS:检查UNIX系统的常见安全配置问题和系统缺陷。
Tiger:基于shell脚本的漏洞检测程序,用于UNIX系统的配置漏洞检查。
Microsoft Baseline Security Analyser(MBSA):Windows系统的安全基准分析工具。
网络漏洞扫描
专用漏洞扫描
IPV4中,字段标识最适合携带隐藏信息
SSL:
位于应用层和传输层之间,可以为任何基于tcp等可靠连接的应用协议提供安全保证。
握手协议:身份鉴别和安全参数协商,包含下面两个
密码规格变更协议:通知安全参数的变更
报警协议:关闭通知和对错误进行报警
记录协议:传输数据的分段、压缩及解压缩、加密及解密、完整性校验等
Stelnet是Secure Telnet的简称。在一个传统不安全的网络环境中,服务器通过对用户认证及双向的数据加密,为终端用户提供安全的Telnet服务。
SET协议是应用层的协议,是一种基于消息流的协议,一个基于可信的第三方认证中心的方案。SET改变了支付系统中各个参与者之间交互的方式,电子支付始于持卡人。
Http状态码:https://blog.csdn.net/WangYouJin321/article/details/123549958
1** ——告知请求的处理进度和情况
2** ——成功
3** ——请求重定向
4** ——客户端错误
5** ——服务端错误
协议对应端口号:
FTP-21(20数据连接,21控制连接)/SSH-22/Telnet-23/SMTP-25/DNS(udp)-53/web-80/POP3-110/SNMP-161/HTTPS-443/共享文件夹&打印机—445/RIP-520/MSSQL-1433/Oracle-1521/L2TP-1701/mysql-3306/远程桌面-3389/redis-6379
* ICMP是控制协议,没有端口号,在网络层。
入侵检测
模型CIDF由四个部分组成:
事件产生器一从网络环境中获得事件,并将事件提供给CIDF的其他部分;
事件分析器一分析事件数据,给出分析结果;
响应单元一针对事件分析器的分析结果进行响应,比如,告警、断网、修改文件属性等;
事件数据库——存放中间和最终数据(文本、数据库等形式)。
系统组成:
数据采集模块、入侵分析引擎模块、应急处理模块、管理配置模块、相关辅助模块
基于网络的入侵检测系统(NIDS):
可以检测到的攻击有同步风暴、分布式拒绝服务攻击、网络扫描、缓冲区溢出、协议攻击、流量异常、非法网络访问等。
产品:Session Wall、ISS RealSecure、Cisco Secure IDS、Snort
基于主机的入侵检测系统(HIDS):
可以检测针对主机的端口和漏洞扫描、重复登录失败、拒绝服务、系统账号变动、重启、服务停止、注册表修改、文件和目录完整性变化等。
产品:SWATCH、Tripwire、网页防篡改系统
Snort配置有三个主要的模式:嗅探、包记录和网络入侵检测。
Snort规则结构:
规则头:规则行为-alert/log/pass/activate/dynamic 协议类型 源/目的IP地址 子网掩码 方向操作符 源/目的端口
规则选项:告警信息 异常数据的信息(特征码、signature)
例如:检测尝试SSH的root登录:alert tcp $EXTERNAL_NET any -> $HOME_NET 22 (content: "User root"; msg: "ssh root login";)
恶意代码:
一种违背目标系统安全策略的程序代码,会造成目标系统信息泄露、资源滥用、破坏系统的完整性及可用性。
恶意代码攻击模型:侵入系统—维持或提升已有权限—隐蔽—潜伏—破坏—重复前五步
恶意代码特点:恶意的目的;本身是计算机程序;通过执行发生作用
恶意代码生存技术:反跟踪技术、加密技术、模糊变换技术、自动生产技术、三线程脚技术、进程注入技术、通信隐藏技术等。
计算机病毒:
一组具有自我复制、传播能力的程序代码
计算机病毒组成:复制传染部件、隐藏部件、破坏部件
计算机病毒生命周期:潜伏—传播—触发—发作
特洛伊木马:
具有伪装能力、隐蔽执行非法功能的恶意程序,而受害者表面看到的是合法功能的执行。不具备自我传播能力
特洛伊木马运行机制:寻找攻击目标—收集目标系统的信息—将木马植入目标系统—木马隐藏—激活木马
网络蠕虫(主动传播):
一种具有自我复制和传播能力、可独立自动运行的恶意程序
蠕虫组成:探测模块、传播模块、蠕虫引擎模块、负载模块
僵尸网络:
攻击者利用入侵手段将僵尸程序植入目标计算机上,进而操纵手害己执行恶意活动的网络。
僵尸网络运行机制:僵尸程序的传播—对僵尸程序进行远程命令操作和控制,将受害者组成一个网络—总控发送指令
其他恶意代码:
逻辑炸弹——依附在其他软件中,具有触发执行破坏能力的程序代码。技术、时间、文件、访问触发
陷门——允许用户避开安全机制访问系统
细菌——具有自我复制功能的独立程序
间谍软件——不知情下被安装,执行用户非期望功能
APT(高级持续威胁):
针对高级持续威胁攻击的特点,部署 APT 检测系统。原理:基于静态动态分析检测可疑恶意电子文件及关联分析
网络安全大数据以发现高级持续威胁活动。
主要的渗入威胁有假冒、旁路、非授权访问、侵犯,主要的植入威胁有特洛伊木马、后门、陷阱
Smurf攻击是让目标主机被大量的ICMP echo reply报文淹没,从而失去正常服务的能力。
僵尸网络基本都是用于DDOS的肉鸡,从事恶意活动,侧重控制;然而木马主要是信息窃取,不一定从事恶意活动,侧重于窃听。
示例:
网络神偷:最早实现端口反向连接技术的恶意代码
灰鸽子:端口反向连接技术,反弹shell
广外女生:超级管理技术
中国黑客:三线程技术
红色代码:缓冲区溢出攻击技术
网络安全事件分类:网络攻击事件、恶意程序事件、信息破坏事件、信息内容安全事件、设备设施故障、灾害性事件、其他信息安全事件
安全应急处理流程:
1. 安全事件报警
2. 安全事件确认
3. 启动应急预案
4. 安全事件处理(准备-检测-抑制-根除-恢复-总结)
5. 撰写安全事件报告(日期、人员、发现途径、类型、范围、记录、损失及影响、处理过程、经验教训)
6. 应急工作总结
容灾技术目的:
是在灾难发生时保证计算机系统能继续对外提供服务。根据保护对象的不同,容文可以分为数据容文和应用容文两类。应用容文是完整的容灾解决方案,实现了应用级的远程容灾,真正实现了系统和数据的高可用性。数据容灾是应用容灾的基础,而数据容灾中最关键的技术是远程数据复制。
灾难恢复等级:
1 级-基本支持:每周至少一次完全数据备份;
2 级-备用场地支持:灾难发生后能在预定时间内调配使用的数据处理设备和通信线路以及相应的网络设备,紧急供货协议、备用通信线路协议;
3 级-电子传输和部分设备支持:配置部分数据处理设备和部分通信线路级响应网络设备,专人管理,每天多次定时批量传送关键数据;
4 级-电子传输及完整设备支持:配置灾难恢复所需全部数据处理设备和通信线路及网络设备,处于就绪状态;
5 级-实时数据传输及完整设备支持:实现远程数据复制技术,要求备用网络具备自动或几种切换能力;
6 级-数据零丢失和远程集群支持:实时备份,零丢失,实现无缝切换,远程集群系统实时监控与自动切换能力
取证步骤:现场保护-识别证据-传输-保存-分析-提交
网络安全渗透测试流程与内容:
1. 委托受理阶段。(签署:“保密协议”、“网络信息系统渗透测试合同”)
2. 准备阶段。(确定日期、人员、范围、方案;签署“网络信息系统渗透测试用户授权单”)
3. 实施阶段。(实施,整理数据,形成“网络信息系统渗透测试报告”)
4. 综合评估阶段。(“网络信息系统渗透测试报告”,召开评审会,可能复测)
5. 结题阶段。(归档)
TLL>64表示端口关闭,TLL<64表示端口开启。
如果端口开放,目标主机会响应扫描主机的SYN/ACK连接请求;如果端口关闭,则目标主机会向扫描主机发送RST/ACK的响应。没有完成三次握手的话,日志不会对扫描进行记录,即尝试连接的记录比日志所记录的要少。
COS智能卡片内操作系统四大模块:通信管理、命令解析、文件管理、安全管理
主动攻击是攻击者主动对信息系统实施攻击,导致信息或系统功能改变。被动攻击不会导致系统信息的篡改,系统操作与状态不会改变,其特点是对传输进行窃听和检测。蜜罐是主动防御技术。
一个中心,三重防护:
“安全管理中心”这一控制项主要包括系统管理、安全审计、安全管理
安全计算环境、安全区域边界、安全通信网络防护
可信计算:
首先构建一个信任根,再建立一条信任链,从信任根开始到硬件平台,到操作系统,再到应用,一级认证一级,一级信任一级,将这种信任扩展到整个计算机系统,从而保证整个计算机系统可信。
TPM Trusted Platform Module
TNC Trusted Network Connect
可信度量根 RTM:软件模块
可信存储根 RTS:TPM 芯片+存储根密钥 SRK
可信报告根 RTR:TPM 芯片+根密钥 EK
实现VPN的关键技术主要有隧道技术、加解密技术、秘钥管理技术、身份认证技术。
数据链路层VPN的实现方式有ATM、Frame Relay、多协议标签交换(MPLS);网络层VPN的实现方式有受控路由过滤、隧道技术:传输层VPN的实现方式有SSL技术。有些资料中,将MPLS看成介于数据链路层和网络层的2.5层协议。
最大并发连接数不是IPSec VPN的主要性能指标;加解密丢包率不是SSL VPN的主要性能指标。
隐私保护:
抑制指通过数据置空的方式限制数据发布;
泛化指通过降低数据精度实现数据匿名;
置换不对数据内容进行更改,只改变数据的属主;
扰动是指在数据发布时添加一定的噪音,包括数据增删、变换等;
裁剪是指将数据分开发布。
面向数据挖掘的隐私保护技术:基于数据失真/数据匿名/数据加密的隐私保护技术
数字水印技术应用:版权保护、信息隐藏、信息溯源、访问控制
linux:
lsof——list of file 列出当前系统打开文件
ls -R 递归显示所有子目录、子文件 * 凡是和递归相关,即操作整个目录及下属的各种文档,不要忘记加上参数-R
ps process status 显示当前进程状态
top 监控所有进程,相当于Windows里面的任务管理器
kill 结束进程,一般会用kill -9 [pid] 表示结束指定pid的进程
netstat -anp | grep 端口号 查看端口是否正在使用
cat -n 查看短文本,-n显示行号
pwd 打印当前所在目录路径
chmod 更改文件权限
file 查看文件类型
stat 查看文件属性
alias 查看所有别名
date 查看日期
cal 查看日历
grep 过滤
tar czvf xxx.tar 压缩目录
tar xzvf xxx.tar 解压缩目录
重定向:改变默认输入输出方向
> 覆盖原文件内容
>> 追加,追加到文件内容的最后
>/dev/null 丢弃执行结果
| 管道,左边命令的输出作为右边命令的输入
dmesg 查看系统日志
systemctl 是systemControl简写,相当windows下的service.msc
- 启动sshd:service sshd start/systemctl start sshd
- 停止sshd:service sshd stop/systemctl stop sshd
- 重启sshd:service sshd restart/systemctl restart sshd
wget 下载
wget -p /opt/usr -r www.baidu.com
-p 保存到指定文件夹 -r 递归下载页面所有资源
ln 创建软链接
ln [选项] 源文件 目标文件 例如,ln -s /dev/shm shm
硬链接和软链接区别:
1. 软链接类似快捷方式,指向的是路径,而硬链接指向的是数据
2. 软链接可以指向目录,而硬链接不能指向目录、特殊文件
3. 软链接占磁盘空间,而硬链接不占空间
-rw-r--r-- 1 root root 204 10月 17 09:37 3.txt //1代表的就是文件的所有硬链接数
find 查找
find path -option [-print] [-exec -ok commad]{}\;
-xtype l 或 -type l 指定类型为失效链接文件
例,find /home -xtype l -print find /home -xtype l -exec rm {} \;
chattr 对文件设置一些特殊权限,比如不可修改删除等
chmod 600 /etc/inetd.conf //文件属性,仅root可读写
chattr +i /etc/inetd.conf //属主为root,设置不能更改
rm 删除
rm -f $HOME/.bash_history 注销时删除命令记录
history -c 清除历史命令
普通用户提示符号为$,超级用户提示符号为#
安全日志存放了验证和授权方面的信息。路径为/var/log/secure
要修改SSHD的配置文件,文件路径为/etc/ssh/ssh_config
/etc/hosts.allow和/etc/hosts.deny一般是搭配使用的。linux会先检查deny规则,再检查allow,如果有冲突按照allow规则处理。
用户名:口令:用户标识号:组标识号:注释性描述:主目录:登陆Shell
UID是一个整数,取值范围是0-65535。0是root的标识号;1-99由系统保留,作为管理账号;普通用户的标识号从100开始。
/etc/group & /etc/passwd默认访问权限为rw- r-- r-- (644);/etc/shadow默认访问权限为r-- --- --- (400)
Linux有7种运行模式 init 0-6
0 关机
1 单用户模式
2 多用户模式
3 切换到命令行模式 服务一般处于这种模式
4 未被使用的模式
5 切换到桌面模式
6 重启
Windows:
netstat -b 显示在创建每个连接或侦听端口时设计的可执行程序
netstat -ano | findstr "port" 端口对应的 PID
tasklist | findstr "PID" 进程对应的 PID
组策略快捷键——gpedit.msc,事件查看器——eventvwr.msc,注册表——regedit,服务管理器——services.msc
Windows三种日志类型:系统日志——Sysevent.evt、应用程序日志——Appevent.evt、安全日志Secevent.evt,注意后缀为evt,存放在system32\config目录下
4624——登陆成功,4625——登陆失败,4634——注销成功,4647——用户启动的注销,4672——管理员登陆,4720——创建用户
Windows用户登录到系统时,WinLogon进程为用户创建访问令牌,包含用户及所属组的安全标识符SID,作为用户的身份标识。
Android系统:
应用程序层:权限声明机制、保障代码安全
应用框架层:应用程序签名机制
系统运行库层:网络安全、采用SSL/TLS加密通信、虚拟机安全、安全沙箱
linux内核层:ACL权限机制、集成SElinux模块、地址空间布局随机化、文件系统安全
应用程序权限信息声明都在Manifest.xml,防止应用程序错误的使用服务,不恰当访问资源
四种存储方式:SharePerferences、文件存储、ContentProvider、SQLite数据库
IOS系统框架:核心操作系统层、核心服务层、媒体层、可触摸层
TCP相关知识:
[SYN]——请求建立连接;
[SYN,ACK]——可以建立连接;
[ACK]——响应;
[FIN,ACK]——同意结束;
[FIN]——关闭连接
[PSH]——有DATA数据传输;
[RST]——连接重置;
[seq]——序列号;
[ack]——下一个数据包编号
C中不安全函数:
strcpy——strncpy 用于将一个字符串复制到另一个字符串中,但它没有对目标字符串的长度进行检查,容易造成缓冲区溢出。为了解决这个问题,可以使用strncpy函数,它可以指定要复制的最大字符数,避免溢出。
strcat——strncat 用于将一个字符串连接到另一个字符串的末尾,但它也没有检查目标字符串的长度,容易导致缓冲区溢出。替代方案是使用strncat函数,并指定最大字符数。
gets——fgets 用于从标准输入读取字符串,但它无法检查输入的长度,容易导致缓冲区溢出。应该使用fqets函数,它可以指定要读取的最大字符数,并且可以安全地处理输入的长度
scanf——scanfs
sprintf——snprintf
strcmp(str1,str2),若str1=str2,则返回零;若str1str2,则返回正数。
参考:https://blog.csdn.net/weixin_69940084/article/details/130785745
Sql注入:
攻击者利用 Web 应用程序中未对程序变量进行安全过滤处理,在输入程序变量参数时,故意构造特殊的 SQL 语句,让后台数据库执行非法指令,从而操控数据库内容,达到攻击目的。
分类:
联合注入、布尔注入、报错注入、时间注入、堆叠注入、二次注入、宽字节注入、cookie注入等
常用函数:
database():当前网站使用的数据库
version():当前MYSQL使用的版本
user():当前MYSQL的用户
information_schema.schemata:记录数据库信息的表
information_schema.tables:记录表名信息的表
information_schema.columns:记录列名信息的表
schema_name 数据库名
table_name 表名
column_name 列名
table_schema 数据库名
length(str) 返回str字符串的长度。
substr(a,b,c) 从位置b开始,截取a字符串c位长度。注意这里的pos位置是从1开始的
mid(str,pos,len) 跟上面的一样,截取字符串
ascii(str) 将某个字符串转化为ascii值
ord(str) 同上,返回ascii码
if(a,b,c) a为条件,a为true,返 回b,否则返回c,如if(1>2,1,0),返回0
updatexml(1,concat(0x7e,version()),1) 第二个参数为XPATH路径,如果不符合XPATH格式会报错,返回 ~5.7.26
concat() 连接字符串
concat_ws() concat_ws(0x7e,database(),use()),把查出来的库名和用户通过~连接起来完成报错
一句话木马,其中hacker为密码
防御方法:
采用预编译技术、严格控制数据类型、对特殊的字符进行转义、
绕过方法:
空格字符、大小写、浮点数、NULL值、引号、添加库名、去重复、反引号、min截取字符串、like、limit offest、or and xor not、ascii字符对比、等号、双关键词、多参数拆分、生僻函数、信任白名单、静态文件绕过
参考:https://blog.csdn.net/qq_43372862/article/details/104081302?spm=1001.2014.3001.5502
| 算法名称 | 算法特性描述 | 备注 |
|---|---|---|
| SM1/SM4 | 对称加密,分组长度和密钥长度都为128 | SM4无线局域网产品使用,WAPI协议 |
| SM2 | 非对称加密,用于公钥加密算法、密钥交换协议、数字签名算法 | 国家标准推荐使用素数域256位椭圆曲线 |
| SM3 | 杂凑算法,分组长度:512 摘要长度:256 | |
| SM9 | 标识密码算法 | SM2和SM9是我国国家密码管理局发布的数字签名标准 |
| MD5 | 杂凑算法,分组长度:512 摘要长度:128 | |
| SHA1 | 杂凑算法,分组长度:512 摘要长度:160 |
| 防火墙 | IDS | IPS | |
|---|---|---|---|
| 产品类别 | 访问控制类(门锁) | 审计类(监控系统) | 访问控制类(安保人员) |
| 保护内容 | 多应用在转发、内网保护(NAT)、流控、过滤等方面 | 针对攻击 | 针对攻击 |
| 部署位置 | 采用串行接入,部署在网络边界,用来隔离内外网 | 采用旁路接入,尽可能靠近攻击源、尽可能靠近受保护资源 | 串联接入,在网络出口/入口处 |
| 工作机制 | 是重要的网络边界控制设备,主要通过策略5要素(源、目的、协议、时间、动作) | 主要针对已发生的攻击事件或异常行为进行处理,属于被动防护。缺点:阻断UDP会话不太灵,对加密的数据流束手无策 | 针对攻击事件或异常行为可提前感知及预防,属于主动防护。阻断方式较IDS更为可靠,但是性能较低。单点故障 |
| 第一代交换机 | 以集线器为代表,工作在OSI物理层 |
|---|---|
| 第二代交换机 | 以太网交换机,工作在OSI数据链路层,称为二代交换机,识别数据中的MAC,并根据MAC地址选择转发 |
| 第三代交换机 | 三层交换机,工作在OSI网络层 |
| 第四代交换机 | 增加业务功能,比如防火墙、负载均衡、IPS等 |
| 第五代交换机 | 支持软件定义网络SDN,具有强大的QOS的能力 |
| ICMP报文类型 | 情况 |
|---|---|
| 差错报文 | 目的不可达 |
| 时间超时 | |
| 参数问题 | |
| 控制报文 | 源站抑制 |
| 路由重定向 | |
| 查询报文 | 请求和回应报文 |
| 路由询问或通告 | |
| 时间戳请求与应答 | |
| 地址掩码请求和应答 |
| ECB (Electronic Codebook 电码本模式) |  |
将整个明文分成若干段相同的小段,然后对每一小段进行加密。 |
|---|---|---|
| CBC(Cipher Block Chaining 密码分组链接模式) |  |
先将明文切分成若干小段,然后每一小段与初始块(IV)或者上一段的密文段进行异或,再与密钥进行加密。缺点:不利于并行计算;误差传递;需要初始化向量IV |
| 计算器模式(Counter (CTR)) |  |
在CTR模式中, 有一个自增的算子,这个算子用密钥加密之后的输出和明文异或的结果得到密文,相当于一次一密。 |
| 密码反馈模式(Cipher FeedBack (CFB)) |  |
|
| 输出反馈模式(Output FeedBack (OFB)) |  |
 |
 |
|---|
| 差别 |  |
|---|---|
| 异常检测:统计分析 正常行为特征库 |
1. 基于条件概率 2. 基于状态迁移 3. 基于键盘监控 4. 基于规则(Snort) |
| 误用检测:特征匹配 已知入侵模式库 |
1. 基于统计 2. 基于模式预测 3. 基于文本分类 4. 基于贝叶斯推理 |
 |
 |
|---|
 |
 |
|---|
| 网络物理隔离机制与实现技术 | 原理:避免两台计算机之间直接的信息交换以及物理上的联通。以阻断两台计算机之间的直接在线网络攻击。 |
|---|---|
| 专用计算机上网 | 在内部网络中指定一台计算机,这台计算机只与外部网相连,不与内部网相连。用户必须到指定的计算机才能上网,并要求用户离开自己的工作环境。 |
| 多PC | 内部网络中,在上外网的用户桌面上安放两台PC,分别连接两个分离的物理网络,一台连接内网,一台连接外网。 |
| 外网代理服务 | 在内部网络指定一台或多台计算机充当服务器,负责专门收集外部网的指定信息,然后把外网信息手工导入内部网,供内部用户与外网的物理丽娜姐,避免内网的计算机受到来自外网的攻击。 |
| 内外网线路切换器 | 在内部网中,上外网的计算机上连接一个物理线路AB交换盒,通过交换盒的开关设置控制计算机的网络物理连接。 |
| 单硬盘内外分区 | 原理:把单一硬盘分隔成不同的区域,在IDE总线物理层上,通过一块IDE总线信号控制卡截取IDE总线信号,控制磁盘通道的访问,在任意时间内,仅允许操作系统访问指定的分区。 |
| 双硬盘 | 在一台机器上安装两个硬盘,通过硬盘控制卡对硬盘进行切换控制,用户在连接外网时,挂接外网硬盘,而当用内网办公时,重新启动系统,挂机内网办公硬盘。 |
| 网闸 | 通过利用一种GAP技术,使两个或两个以上安全数据交换和共享。原理:使用一个具有控制功能的开关读写存储安全设备,通过开关的设置来连接或切断两个独立主机系统的数据交换。 |
| 协议隔离技术 | 处于不同安全域的网络在物理上是有连线的,通过协议转换的手段保证受保护信息在逻辑上是隔离的,只有被系统要求传输的、内容受限的信息可以通过。 |
| 单向传输部件 | 一对具有物理上单向传输特定的传输部件,该传输部件由一对独立的发送和接收部件构成,发送和接受部件仅具有单一的发送功能,接收部件仅具有单一的接收功能,两者构成可信的单向信道,该信道无任何反馈信息。 |
| 信息摆渡技术 | 是信息交换的一种方式,物理信道只在传输进行时存在。信息传输时,信息先由信息源所在安全域一端传输至中间缓存区域,同时物理断开中间缓存区域与信息目的所在安全域的连接;随后接通中间缓存区域与信息目的所在安全域的传输信道,将信息传输至信息目的所在安全域,同时在信道上物理断开信息源所在安全域与中间缓存区域的连接。在任何时刻,中间缓存区域只与一端安全域相连。 |
| 物理断开技术 | 指处于不同安全域的网络之间不能以直接或间接的方式相连接。物理断开通常由电子开关实现。 |
2023软考总结
23年的题大概就是气死人的程度,就你明明很努力的学了,但是考试题目会告诉你你学的是一坨狗屎,完全用不上。
今年软考变化非常大,这里只说信息安全工程师相关的:
- 形式上,由原来的纸质考卷变成了机考。考试之前官网会有专门的软件让模拟,所以倒也不用担心机考不适应的问题。对于写论文的高级别来说机考是绝对的好处。
- 时间上,由原来的上午(选择题)+ 下午(问答题)变成了联考四小时,时间是早上的8:30~12:30,中间可以休息。选择题仅允许提前半小时交卷,剩余的时间可以为问答题所用,整体最早提前一小时交卷。除此之外需要提前半小时到考场,这意味着要很早起床。
- 特殊性。信息安全工程师相比其他的中项,一年只有一次考试的机会。
整个考场感觉挺乱的,走错教室的、忘了自己是上下午的、借上厕所之由带手机的,就挺离谱。
再来总结一下今年的题:
选择题
题目倒也还中规中矩,但我个人觉得比往年难,尤其是恶意代码类型的题很多,很恶心
问答题
要吐槽的点太多了。机考大家题目顺序不一样,我的试卷题目是这样分布的。
- 第一题是密码相关的。考前大家都以为是非对称密码RSA(连续考了好几年),所以练习了很多这方面的题目,本身也算是有点密码学基础。结果噗通来了一个DES(新版教材压根没有),如果刷过20年之前的题,那么恭喜你还能得上几分。包括但不限于问密码的置换移位对应什么技术、补DES的S盒、明文不够位数怎么办、弱密钥等;
- 第二题是Android相关的。APP打包的后缀,其他的不太能记得起来了;
- 第三题是windows命令net和注册表。怎么新建用户、如何查看隐蔽用户、注册表查看用户、用户克隆等;
- 第四题是远程代码执行。如果是搞渗透的,那么恭喜你对口了。给你段代码和执行结果分析是什么漏洞,对应的有问题的参数是什么、怎么输出想要的结果;
- 第五题是扫描技术+防火墙。同样如果刷过17年的题,那拿高分的几率还是很大的。目标主机IP、扫描方式、开放的端口、iptables防火墙。
下面是某机构老师对23年考试的评价:
- 内容考察覆盖面广;
- 案例分析的考察与官方教材脱节严重;
- 考察内容及形式没有延续原有的风格;
- 新教材中大面积删减的内容依然考察。
最后,说一句,虽然很难,但明年再战,我就不信了!!!
考试通过啦
呦吼,2023/12/07 号又来更新了。早上上班听到群里一直有消息滴滴的声音,没想到突然成绩就出来了,没有一点点预兆。查成绩的时候心一直在跳,手也在抖,感觉比之前考研查分都紧张。我竟然通过了,竟然竟然啊啊啊啊,怎么想我都不可能得那么高的成绩呀,感觉判卷松了很多很多,比我之前所有的模拟考试成绩都高(之前的应用题还是自己拼命凑到45分左右的)会不会是因为我们这个城市考信安的人太少了,狗头.jpg!
也算是给自己了一个交代,不然努力白费了。浙江报名应该是9月15号开始的,也是从那个时间开始学习的,每天正经学习时间可能1~2个小时吧,国庆还出去玩了没复习,没有报班,网上找了一些资料加上群里面大家的分享,感觉听课没什么用,主要还是刷题,所有题都要刷一遍(超大声)。有一部分原因可能也是因为自己是科班生吧,本科信安的,但感觉之前学的跟考试差别很大。
